Mit ein bisschen Kreativität und krimineller Energie kann man auch Smartphone-Benutzern Code unterschieben, der im Verborgenen Geld einbringt, ohne dass die Nutzer etwas davon ahnen. Das ist besonders leicht, wenn man die App Stores der Hersteller dabei umgehen kann. Ryan Hilemans Analyse einer kostenlosen Cydia-App für iPhones mit Jailbreak fördert ein paar interessante Techniken zu Tage, wie so etwas zu bewerkstelligen ist.
Beim Inspizieren des Codes, der auf dem SpringBoard, also dem Programm-Launcher seines iPhones, ausgeführt wurde, entdeckte Hileman etwas Verdächtiges: Auf seinem Smartphone wurde mittels der UIWebView-Funktion eine Webseite aufgerufen und alle fünf Minuten aktualisiert. Allerdings wurde dieser HTML-Code außerhalb des sichtbaren Bildschirms angezeigt. Es stellte sich heraus, dass der Autor der Cydia-App Enable WebGL mit dieser nicht sichtbaren Webseite über Werbung und Affiliate-Links Geld verdiente, ohne dass die Nutzer seiner App davon irgendwas ahnten. Zusätzlich gibt die App auch die UDID des Smartphones an einen fremden Server durch. Ganz nebenbei erfüllt sie dann auch das, was sie verspricht, nämlich auf dem Smartphone installierten Browsern die Möglichkeit zu geben, WebGL zu nutzen. Das ist dabei so einfach umzusetzen, dass Hileman die Funktion kurzer Hand mittels 14 Zeilen Quellcode replizieren und sogar verbessern konnte.
Der Trojaner wurde bis jetzt fast 10.000 Mal heruntergeladen. Da die Werbe-Seite jedes Mal aufgerufen wird, wenn ein Nutzer eine beliebige App auf dem Telefon startet, hat der Autor hier wahrscheinlich schon eine schöne Summe Geld verdient.
Quelle: heise Security
Beim Inspizieren des Codes, der auf dem SpringBoard, also dem Programm-Launcher seines iPhones, ausgeführt wurde, entdeckte Hileman etwas Verdächtiges: Auf seinem Smartphone wurde mittels der UIWebView-Funktion eine Webseite aufgerufen und alle fünf Minuten aktualisiert. Allerdings wurde dieser HTML-Code außerhalb des sichtbaren Bildschirms angezeigt. Es stellte sich heraus, dass der Autor der Cydia-App Enable WebGL mit dieser nicht sichtbaren Webseite über Werbung und Affiliate-Links Geld verdiente, ohne dass die Nutzer seiner App davon irgendwas ahnten. Zusätzlich gibt die App auch die UDID des Smartphones an einen fremden Server durch. Ganz nebenbei erfüllt sie dann auch das, was sie verspricht, nämlich auf dem Smartphone installierten Browsern die Möglichkeit zu geben, WebGL zu nutzen. Das ist dabei so einfach umzusetzen, dass Hileman die Funktion kurzer Hand mittels 14 Zeilen Quellcode replizieren und sogar verbessern konnte.
Der Trojaner wurde bis jetzt fast 10.000 Mal heruntergeladen. Da die Werbe-Seite jedes Mal aufgerufen wird, wenn ein Nutzer eine beliebige App auf dem Telefon startet, hat der Autor hier wahrscheinlich schon eine schöne Summe Geld verdient.
Quelle: heise Security
